✅ レポートタイトル：セキュリティドキュメントビューア偽装のマルウェア「DocSwap」に関する詳細分析

S2W脅威インテリジェンスセンターは、北朝鮮が支援するAPTグループのマルウェアと推定される「ドキュメント閲覧認証アプリ」マルウェアをVirusTotalでハンティングし、分析を行った内容に関するレポートを発行しました。

北朝鮮が支援する攻撃グループに関連したマルウェアをご確認いただけるハイレベルな脅威インテリジェンスレポートです。

✅ レポートの要約：

1) 脅威ハンティング

2025年1月21日、S2Wの脅威研究及びインテリジェンスセンター「TALON」は、北朝鮮が支援するAPTグループのマルウェアと推定される「ドキュメント閲覧認証アプリ」マルウェアをVirusTotalでハンティングして分析を行いました。

2) マルウェア

マルウェアアプリは2024年12月13日に最初に署名されており、ファイル内に存在するファイル「security.db」をXOR操作で復号化し、DEXファイルを動的にロードして最終的にキーログと悪意のあるコマンド実行機能を実行します。

3) 主な機能

このマルウェアアプリは、未確認タイプのアプリで、ドキュメント閲覧認証アプリを詐称し、C2アドレスに「CoinSwap」を詐称したフィッシングページが見つかったことから「DocSwap」と命名しました。

4) 脅威主体の識別

S2W脅威インテリジェンスセンター「TALON」では、識別されていない脅威グループを別々に管理しています。

- (2025年2月21日) マルウェア「DocSwap」がソケット通信を行うIPで「CoinSwap」を詐称したフィッシングページが確認されました。
- (2025年2月27日) C2アドレス接続時、NaverのFaviconと「Million OK!!!!」と表示され、「Kimsuky」グループとの共通点がいくつか確認されました。

📌 マルウェアアプリ詳細

- Package Name: com.security.library
- App Name: ドキュメント閲覧認証アプリ
- MD5: 3ccfe58b8e0b5ca96cac4e9394567515
- SHA256: bf134495142d704f9009a7d325fb9546db407971ade224e3718a84254e9ff03e

マルウェアアプリのアイコン画像は、S2W techブログに公開された英文レポート（https://bit.ly/4ofYIiO）よりご確認いただけます。

✅ 脅威検出の推奨事項と対策方法：

- 2025年1月21日、「ドキュメント閲覧認証アプリ」という名前のマルウェアアプリを識別し、既知でない種類のマルウェアアプリでドキュメント閲覧認証アプリを詐称し、C2アドレスに「CoinSwap」を詐称したフィッシングページが見つかったため「DocSwap」と命名しました。
- マルウェアアプリはアクセシビリティサービスを介してキーロギングを行い、C2サーバーとのソケット通信を介してカメラの録画、マイクの録音、ファイルのダウンロード、削除などの情報窃取機能を実行しました。
- S2W脅威インテリジェンスセンター「TALON」は、識別されていない脅威グループを別々に管理しており、そのうち北朝鮮を支援する攻撃グループは「puNK（Partially Unidentified North Korean threat actor）」という名前で追跡し、マルウェア「DocSwap」を使用する脅威アクターを「puNK-004」と命名しました。
- マルウェアアプリ「DocSwap」は、ドキュメント閲覧認証アプリに偽装してユーザーからインストールやクリックを誘導しており、ソースが不確実なマルウェアアプリをダウンロードするように誘導するリンクやメール内の添付ファイルを実行しないように注意が必要です。
- 具体的な分析および対応方法については、以下のリンクよりお問い合わせください。

🧑‍💻 レポート作成者: S2W 「TALON」 (2025年3月14日基準)

👉 レポートに関するお問い合わせ: https://s2w.inc/ja/contact

*当該レポートは、S2Wのプラットフォームにて提供されます。詳細に関してはお問い合わせください。